Class action aux Etats-Unis sur des objets connectés

Une class action d’envergure a été lancée aux Etats-Unis contre une société commercialisant des objets connectés.

Class action aux Etats-Unis sur des objets connectés

Les objets connectés se multiplient sur le marché mais des risques existent pour les données à caractère personnel.

Une multitude d’objets connectés

La révolution numérique touche tous les secteurs et le marché du plaisir connecté est en pleine expansion.

Ces objets ou gadgets connectés, qui vont du vibromasseur au préservatif, permettent généralement d’obtenir des statistiques sur ses ébats amoureux et de publier ses performances sur internet.

Le litige à l’origine de la class action

Fin 2016, une société canadienne, commercialisant des objets connectés destinés au plaisir de leurs utilisateurs, a été mise en cause, au regard de ses pratiques relatives à la collecte de données à caractère personnel des utilisateurs de ces gadgets.

En effet, cette société n’avait pas révélé que les produits commercialisés permettaient de collecter les données à caractère personnel de leurs utilisateurs à leur insu.

Il s’est avéré que cette société collectait certaines données sensibles, telles que l’heure et la date de chaque utilisation du sextoy, l’intensité de la vibration sélectionnée, la température du produit et le niveau de batterie du produit.

Malgré leurs côtés pouvant paraître étonnants et drôles, ces objets devenaient de véritables outils portant atteinte à la vie privée.

Une class action avait été initiée par une cliente américaine qui avait déposé une plainte en septembre 2016.

Si la société mise en cause a toujours nié les faits qui lui étaient reprochés et sa responsabilité, elle a reconnu qu’un procès serait long, coûteux et risqué. Les parties ont donc pris la décision de résoudre le litige à l’amiable, en suivant un procédé de médiation privée.

L’accord transactionnel signé

L’accord qui a été signé aux mois de février et mars 2017 entre les parties au litige, constitue une transaction et n’établit pas de violation de la réglementation relative à la protection des données à caractère personnel de la part de la société canadienne.

Cet accord a permis la constitution de deux fonds d’indemnisation pour les plaignants totalisant 5 millions de dollars canadiens : l’un pour les personnes ayant simplement acheté un objet connecté de plaisir, l’autre pour les personnes ayant téléchargé une application permettant de contrôler ces objets connectés.

Par ailleurs, la société s’est engagée notamment :

• à supprimer les informations collectées sans l’accord des utilisateurs ;
• à ne plus mettre en œuvre de processus d’enregistrement des utilisateurs sur l’application;
• à ne plus collecter les adresses mails des utilisateurs, sauf s’ils souhaitent s’abonner à une newsletter ;
• à mettre à jour sa politique de confidentialité ;
• à communiquer sur cet accord, afin que les utilisateurs soient informés de leurs droits d’obtenir des dommages-intérêts.

A noter, le Privacy Act (1) est le principal cadre juridique protégeant les données à caractère personnel détenues par les agences gouvernementales américaines, puisqu’à la différence du système européen, les Etats-Unis n’ont pas de cadre général de protection des données dans le secteur privé mais des lois sectorielles.

Aux Etats-Unis, il existe une régulation volontaire par l’élaboration par les entreprises de leurs propres « privacy policies », ou régulation contractuelle par le biais, notamment, de conventions entre les entreprises et les consommateurs.

Risques sur les données personnelles

Cette affaire est l’occasion de souligner les dérives qui peuvent apparaître dans l’univers des objets connectés.

La protection des données à caractère personnel doit être une priorité pour tous les fabricants d’objets connectés, que ce soit dans leur collecte ou leur traitement, notamment lorsque des données sensibles sont en jeu.

Il faut rappeler que les fabricants ont une obligation de sécuriser les informations collectées.

L’article 34 de la loi Informatique et libertés, applicable en France, prévoit que le fabricant « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Dernièrement, une gamme de jouets connectés commercialisée, par une société américaine, a été piratée et la Commission nationale de l’informatique et des libertés a émis des recommandations, le 28 février 2017, pour la sécurisation des jouets connectés (2).

Afin d’encadrer la collecte des données à caractère personnel, les concepts de « privacy by design » et « privacy by default », ou protection dès la conception, doivent être mis en œuvre.

Ces concepts ont été consacrés par le règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 (3), qui entrera en application le 24 mai 2018, et implique que les responsables de traitements mettent en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. En pratique, ils devront veiller à limiter la quantité de données traitées dès le départ.

Le mécanisme de la class action à la française

Si la class action commentée a eu lieu aux Etats-Unis à l’encontre d’une société canadienne, le mécanisme est également transposable en France.

En effet, il faut rappeler que la loi de modernisation de la justice du XXIe siècle, du 18 novembre 2016, a introduit une action de groupe en matière de protection des données personnelles.

Le nouvel article 43 ter de la loi Informatique et libertés précise, en effet, que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente ».

Cette action devra tendre exclusivement à la cessation de ce manquement et seules pourront exercer cette action :

• les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel;
• les associations de défense des consommateurs représentatives au niveau national et agréées, en application de l’article L. 811-1 du Code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
• les organisations syndicales de salariés ou de fonctionnaires représentatives, au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du Code du travail ou du III de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Les risques pesant sur les fabricants doivent donc être pris en compte dès la conception de l’objet et ce, peu importe sa destination.

Lexing Alain Bensoussan Avocats
Lexing Droit de l’Internet des objets

(1) Privacy Act, 5 U.S.C. § 552a, 1974.
(2) « Jouets connectés : quels conseils pour les sécuriser ? », Conseils de la Cnil du 28-2-2017.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).